Google မှ Linux kernel အတွင်းရှိ USB ဒရိုက်ဗာများတွင် လာမည့် အားနည်းချက် 15 ခု (CVE-2019-19523 - CVE-2019-19537) ကို ဖော်ထုတ်ခြင်းဆိုင်ရာ အစီရင်ခံချက်။ ဤသည်မှာ ပက်ကေ့ဂျ်ရှိ USB stack ၏ fuzz စမ်းသပ်မှုအတွင်း တွေ့ရှိခဲ့သော ပြဿနာများ၏ တတိယအသုတ်ဖြစ်သည်။ - ယခင်က ပေးခဲ့သော သုတေသီ အားနည်းချက် ၂၉ ခု ရှိနေခြင်းအကြောင်း။
ယခုအကြိမ်စာရင်းတွင် လွတ်ပြီးသားမှတ်ဉာဏ်ဧရိယာများ (အသုံးပြုပြီးနောက် အခမဲ့) သို့ဝင်ရောက်ခြင်း သို့မဟုတ် kernel မမ်မိုရီမှ ဒေတာများ ယိုစိမ့်မှုဖြစ်စေသော အားနည်းချက်များသာ ပါဝင်ပါသည်။ ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်းဖြစ်စေရန် အသုံးပြုနိုင်သည့် ပြဿနာများကို အစီရင်ခံစာတွင် မပါဝင်ပါ။ အထူးပြင်ဆင်ထားသည့် USB ကိရိယာများကို ကွန်ပျူတာနှင့် ချိတ်ဆက်ထားသည့်အခါ အားနည်းချက်များကို အသုံးချနိုင်သည်။ အစီရင်ခံစာတွင် ဖော်ပြထားသော ပြဿနာအားလုံးအတွက် ပြင်ဆင်မှုများကို kernel တွင် ထည့်သွင်းထားပြီးဖြစ်သော်လည်း အချို့မှာ အစီရင်ခံစာတွင် မပါဝင်ပါ။ ပြုပြင်မွမ်းမံနေဆဲဖြစ်သည်။
တိုက်ခိုက်သူကုဒ်ကို အကောင်အထည်ဖော်ရန် ဦးတည်နိုင်သည့် အန္တရာယ်အရှိဆုံး အားနည်းချက်များကို adutux၊ ff-memless၊ ieee802154၊ pn533၊ hiddev၊ iowarrior၊ mcba_usb နှင့် yurex ဒရိုက်ဘာများတွင် ဖယ်ရှားထားသည်။ CVE-2019-19532 သည် အကန့်အသတ်မရှိ ရေးသားခွင့်ပြုသည့် အမှားများကြောင့် ဖြစ်ပေါ်လာသော HID ဒရိုက်ဗာများတွင် အားနည်းချက် ၁၄ ခုကိုလည်း စာရင်းပြုစုထားသည်။ ttusb_dec၊ pcan_usb_fd နှင့် pcan_usb_pro ဒရိုက်ဘာများတွင် kernel မမ်မိုရီမှ ဒေတာများ ပေါက်ကြားစေသည့် ပြဿနာများကို တွေ့ရှိခဲ့သည်။ ပြိုင်ဆိုင်မှုအခြေအနေကြောင့် ပြဿနာတစ်ခု (CVE-14-2019) ကို ဇာတ်ကောင်စက်ပစ္စည်းများနှင့် လုပ်ဆောင်ရန်အတွက် USB stack ကုဒ်တွင် တွေ့ရှိထားပါသည်။
မှတ်သားနိုင်သည်။
Marvell ကြိုးမဲ့ချစ်ပ်များအတွက် ဒရိုက်ဗာရှိ အားနည်းချက်လေးခု (CVE-2019-14895၊ CVE-2019-14896၊ CVE-2019-14897၊ CVE-2019-14901)၊ ၎င်းသည် ကြားခံလျှံတက်သွားနိုင်သည်။ တိုက်ခိုက်သူ၏ကြိုးမဲ့ဝင်ရောက်ခွင့်ပွိုင့်သို့ ချိတ်ဆက်သည့်အခါ ဘောင်များပေးပို့ခြင်းဖြင့် တိုက်ခိုက်မှုကို အဝေးမှလုပ်ဆောင်နိုင်သည်။ ဖြစ်နိုင်ခြေအရှိဆုံး ခြိမ်းခြောက်မှုမှာ ဝန်ဆောင်မှုကို အဝေးထိန်း ငြင်းဆိုခြင်း (kernel crash) ဖြစ်သော်လည်း စနစ်တွင် ကုဒ်လုပ်ဆောင်ခြင်း ဖြစ်နိုင်ခြေကို ဖယ်ထုတ်၍မရပါ။
source: opennet.ru